- 1. Slik installerer og administrerer du Firewalld på Linux
- 2. Slik administrerer du soner i Firewalld CentOS og Ubuntu
- 3. Slik blokkerer eller åpner du porter i Firewalld Linux CentOS og Ubuntu
- 4. Slik blokkerer eller åpner du tjenester i Firewalld CentOS og Ubuntu
- 5. Slik aktiverer og deaktiverer du IP -maskering gjennom Firewalld Linux
- 6. Slik aktiverer og deaktiverer du IMCP -melding i Firewalld Linux
- 7. Hvordan aktivere eller ikke få panikkmodus i Firewalld Linux CentOS og Ubuntu
- 8. Slik blokkerer du Firewalld på Linux CentOS og Ubuntu
Sikkerhet er en av handlingene som alltid må være tilstede, ikke bare i organisasjoner, men også på et personlig nivå når vi jobber med et operativsystem, og det er, selv om det er forskjellige verktøy for å øke sikkerheten og personvernet mens du bruker et system, fungerer selve systemet inkluderer en ekstra funksjon som brannmuren.
Den viktigste funksjonen til en brannmur er å lage og administrere inngående og utgående regler for å beskytte hele nettverkstilkoblingsprosessen. Dermed forhindres mistenkelige eller upålitelige pakker i å komme inn i datamaskinen vår og forårsake noen form for skade, for eksempel innsetting av skadelig programvare eller kapring av informasjon.
Når vi jobber med Linux -systemer, et av de sikreste, har vi åpen kildekode -verktøy som hjelper oss med å gjøre denne beskyttelsesprosessen mye mer komplett, og et av disse verktøyene er Firewalld. Solvetic vil forklare hva Firewalld er og hvordan vi kan installere og bruke det i to av de mest brukte distribusjonene som for eksempel CentOS og Ubuntu.
MerkKonfigurasjonsprosessen er identisk for begge systemene
Hva er FirewalldFirewalld (firewall daemon), er et verktøy som har som formål å levere en dynamisk administrert brannmur som har støtte for nettverkssoner der tillitsnivået til nettverkstilkoblinger eller grensesnitt som skal brukes er definert, Firewalld er kompatibelt med IPv4 -adressene, IPv6 -brannmurinnstillinger, Ethernet -broer og IP -adressebasseng.
Firewalld tilbyr oss et grensesnitt for tjenester eller applikasjoner for å legge til brannmurregler direkte, og dermed lette kontrolloppgaver. En av de viktigste fordelene med å bruke Firewalld er at alle endringene som skal gjøres kan utføres i sanntid på utførelsesmiljøet uten å måtte starte tjenesten eller Daemon på nytt slik det skjer med mange verktøy.
Firewalld integrerer et D-Bus-grensesnitt som er egnet for å administrere tjenester, applikasjoner og administrasjon av brannmurskonfigurasjonen. Dette grensesnittet kan integreres med konfigurasjonsverktøyene som brannmur-cmd, brannmur-konfigurasjon og brannmur-applet.
Firewalld -funksjonerNoen av funksjonene vi finner når vi bruker Firewalld er:
- Støtte for IPv4, IPv6, bridging og ipset.
- IPv4 og IPv6 NAT -støtte.
- Brannmur eller brannmurssoner.
- Full D-Bus API.
- Enkel service, port, protokoll, kildeport, maskering, portvideresending, icmp -filter, rik regel, grensesnitt og kildeadressekontroll i brukte soner.
- Direkte grensesnitt for ledelse.
- Blokkeringsfunksjon som lager en hvit liste over applikasjoner som kan endre brannmuren.
- Automatisk lasting av Linux -kjernemoduler.
- Integrasjon med Puppet.
- Tidsbestemte brannmurregler i soner.
- Enkel registrering av nektede pakker.
- Grafisk konfigurasjonsverktøy som bruker gtk3.
- Applet som bruker Qt4.
DistribusjonerDe grunnleggende distribusjonene der Firewalld kan implementeres er:
- RHEL 7, CentOS 7
- Fedora 18 og høyere
applikasjonerApplikasjonene og bibliotekene som støtter firewalld som et brannmurhåndteringsverktøy inkluderer:
- NetworkManager
- libvirt
- docker
- fail2ban
Det er viktig at før vi går i detalj om hvordan du installerer og bruker Firewalld, vet vi litt mer om det, Firewalld består av tre lag som er:
- Hovedlag (kjernelag) som er ansvarlig for å administrere konfigurasjonen og tjenester som iptables, ip6tables, ebtables, ipset og modullasteren.
- D-Bus-grensesnitt: som er hovedmidlet for å endre og opprette brannmurinnstillinger.
- Backends som tillater samspill med netfilter (den opprinnelige kjernemodulen som brukes til brannmur) og noen regnes som iptables, ip6tables, ebtables, ipset, nft, linnftables, etc.
Firewalld D-Bus-grensesnittet er den viktigste måten å opprette og redigere brannmurinnstillinger på. Dette grensesnittet brukes av alle de elektroniske verktøyene som er innebygd i firewalld, for eksempel firewall-cmd, firewall-config og firewall-applet, brannmuren-offline-cmd-linjen snakker ikke direkte til firewalld, men den redigerer og oppretter konfigurasjonsfilene til firewalld direkte gjennom firewalld -kjernen med IO -driverne.
Den globale konfigurasjonsfilen for firewalld ligger på /etc/firewalld/firewalld.conf, og brannmurfunksjonene er konfigurert i XML -format.
Firewalld bruker soner som er de som definerer tillitsnivået som nettverkstilkoblingen skal brukes, grensesnittet eller kildeadresselinken vil ha, og den samme sonen kan brukes for mange nettverkstilkoblinger, grensesnitt og kilder.
Sonene som er tilgjengelige i Firewalld er:
MisteDette er sonen med det laveste konfidensnivået fordi alle innkommende pakker automatisk blir avvist og bare tillater utgående pakker å bli aktivert.
BlokkereNår du bruker denne sonen, er tillitsnivået det samme som Drop, men skiller seg bare ut ved at innkommende pakker blir avvist ved hjelp av icmp-host-forbudt for IPv4 og icmp6-adm-forbudt for IPv6-meldinger.
OffentligMed denne sonen refererer tillitsnivået til upålitelige offentlige nettverk, så det godtar bare klarerte tilkoblinger.
UtvendigDet er nivået som er definert når vi bruker brannmuren som en gateway og maskeringen er aktivert av ruterne.
DMZDet er en sone der tillitsnivået gjelder utstyr som ligger i en DMZ (demilitarisert) sone, dette betyr at det er offentlig tilgang begrenset til det interne nettverket. Den godtar bare aksepterte forbindelser.
ArbeidSom navnet indikerer, brukes dette nivået i arbeidsområder som lar nettverksdatamaskiner ha tilgang til det.
hjemVed å bruke dette nivået snakker vi om et hjemmemiljø, og de fleste datamaskiner på nettverket godtas
InnvendigDenne typen nivå gjelder for interne nettverk slik at alle datamaskiner på det lokale nettverket vil bli akseptert.
TillitDet står for Tillit, noe som innebærer at det er det høyeste nivået og stoler på alle innkommende forbindelser.
For å konfigurere eller legge til soner kan vi bruke ett av følgende tilgjengelige firewallld -konfigurasjonsgrensesnitt:
- Grafisk konfigurasjonsverktøy brannmur-konfigurasjon.
- Firewall-cmd kommandolinjeverktøy.
- D-BUS programmatisk grensesnitt.
- Opprett, kopier eller rediger en sonefil i noen av konfigurasjonskatalogene, for eksempel: / etc / firewalld / zones for tilpassede og brukeropprettede konfigurasjonsfiler eller / usr / lib / firewalld / zones for standard- og tilbakekallskonfigurasjoner.
1. Slik installerer og administrerer du Firewalld på Linux
Trinn 1
Hvis du bruker CentOS 7, er firewalld-pakken forhåndsinstallert og kan bekreftes med følgende kommando:
rpm -qa firewalldI tilfelle av Ubuntu må vi installere det med følgende kommando:
sudo apt installer firewalld
FORSTØRRE
Vi skriver inn bokstaven S for å bekrefte nedlasting og installasjon av Firewalld.
Steg 2
Firewalld er en vanlig systemd -tjeneste som kan administreres gjennom systemctl -kommandoen som følger:
sudo systemctl start firewalld (lar deg starte tjenesten) sudo systemctl aktiver firewalld (aktiverer tjenesten under systemoppstart) sudo systemctl status firewalld (lar deg se statusen til tjenesten)
FORSTØRRE
Trinn 3
Etter at vi har startet firewalld-tjenesten, kan vi bekrefte om demonen kjører eller ikke i Linux, for dette må vi bruke brannmur-cmd-verktøyet, vi utfører følgende:
sudo brannmur -cmd -stat
FORSTØRRE
2. Slik administrerer du soner i Firewalld CentOS og Ubuntu
Trinn 1
For å få en liste over alle tilgjengelige brannmurstjenester og soner, må vi kjøre følgende kommandoer:
Slik ser du sonene:
sudo brannmur-cmd --get-soner
FORSTØRRE
Steg 2
For å se tjenestene vil vi utføre:
sudo firewall-cmd --get-services
FORSTØRRE
Trinn 3
Standardsonen er sonen som er implementert for hver firewalld -funksjon som ikke er koblet til en annen sone. Det er mulig å skaffe standardsonen som er angitt for nettverkstilkoblinger og grensesnitt ved å utføre følgende:
sudo firewall-cmd-get-default-zone
FORSTØRRE
Trinn 4
Hvis vi ønsker å etablere en annen standardsone, må vi bruke følgende kommando. Det bør bemerkes at hvis vi legger til alternativet -permanent, konfigurasjonen er etablert permanent, kan vi utføre et av følgende alternativer:
sudo firewall-cmd --set-default-zone = eksterneller
sudo firewall-cmd --set-default-zone = ekstern -permanentTrinn 4
Deretter bruker vi endringene ved å utføre:
sudo brannmur -cmd -reload
FORSTØRRE
Trinn 5
Hvis målet for eksempel er å legge til et grensesnitt i en sone, kan vi utføre følgende:
sudo firewall-cmd --zone = home --add-interface = enp0s3I dette tilfellet har vi lagt til enp0s3 (LAN) -grensesnittet i hjemmesonen.
FORSTØRRE
Trinn 6
Det skal bemerkes at et grensesnitt bare kan legges til en enkelt sone, i stedet kan det flyttes til en annen sone, for dette bruker vi-switch-interface-bryteren eller fjerner fra den forrige sonen med -remove-interface switch og legg den til i den nye sonen, for eksempel:
sudo firewall-cmd --zone = public --add-interface = enp0s3 sudo firewall-cmd --zone = public --change-interface = enp0s3Med Firewalld er det mulig å bruke mange soner samtidig, hvis vi ønsker å få en liste over alle de aktive sonene med funksjonene aktivert, for eksempel grensesnitt, tjenester, porter, protokoller, utfører vi følgende:
sudo firewall-cmd --get-active-zones
FORSTØRRE
Trinn 7
For å få mer informasjon om sonene, for eksempel hva som er aktivert eller eliminert, kan vi bruke en av disse kommandoene:
sudo firewall-cmd --zone = home --list-allELLER
sudo brannmur-cmd-infosone offentlig
FORSTØRRE
Trinn 8
Et annet nyttig alternativ å bruke med Firewalld er --get-target, dette viser målet for en permanent sone, målene kan være standard, Aksepter, DROP, REJECT, for å kontrollere målet for flere soner kan vi bruke en av følgende kommandoer :
sudo firewall-cmd --permanent --zone = public --get-target sudo firewall-cmd --permanent --zone = block --get-target sudo firewall-cmd --permanent --zone = dmz --get- mål sudo brannmur-cmd --permanent --zone = ekstern --get-target sudo brannmur-cmd --permanent --zone = slipp --get-target
3. Slik blokkerer eller åpner du porter i Firewalld Linux CentOS og Ubuntu
For å åpne en port gjennom firewalld, bare legg den til i sonen med alternativet --add-port, hvis sonen ikke er eksplisitt spesifisert, vil den bli aktivert i standardsonen.
Trinn 1
For eksempel, for å legge til porter 80 og 443 som tillater innkommende webtrafikk gjennom HTTP- og HTTPS -protokollene, skal vi utføre følgende:
sudo firewall-cmd --zone = public --permanent --add-port = 80 / tcp --add-port = 443 / tcp
FORSTØRRE
Steg 2
Nå skal vi laste inn brannverdenen igjen og bekrefte funksjonene som er aktivert i den offentlige sonen:
sudo brannmur-cmd-last inn på nytt sudo brannmur-cmd-informasjonssone offentlig
FORSTØRRE
Trinn 3
Hvis vi vil blokkere en port i firewalld, må vi bruke alternativet --remove-port, i dette eksemplet slik:
sudo brannmur-cmd --zone = offentlig-permanent --fjerne-port = 80 / tcp --fjerne-port = 443 / tcp
4. Slik blokkerer eller åpner du tjenester i Firewalld CentOS og Ubuntu
For prosessen med å aktivere en tjeneste i Firewalld må vi aktivere den ved hjelp av alternativet --add-service, husk at hvis vi utelater sonen, vil standardsonen bli brukt.
Trinn 1
For eksempel, for å aktivere http -tjenesten i en offentlig sone, kjører vi:
sudo firewall-cmd --zone = public --permanent --add-service = http sudo firewall-cmd -reload
FORSTØRRE
Steg 2
Med parameteren -remove -service kan vi fjerne tjenesten fra den tildelte sonen:
sudo firewall-cmd --zone = public --permanent --remove-service = http sudo firewall-cmd -reload
FORSTØRRE
5. Slik aktiverer og deaktiverer du IP -maskering gjennom Firewalld Linux
IP masquerading, eller IPMASQ / MASQ) er en NAT -mekanisme som lar verter på et nettverk med private IP -adresser kommunisere med Internett via den offentlige IP -adressen som er tilordnet Linux -serveren ved hjelp av IPMASQ -gatewayen..
Med denne maskeringen vil trafikken fra de usynlige vertene vises på andre datamaskiner på Internett som om den kom direkte fra Linux -serveren.
For å sjekke om maskeringen er aktiv eller ikke, utfører vi:
sudo firewall-cmd --zone = public --query-masqueradeSå kan vi legge til en sone som denne:
sudo brannmur-cmd --zone = offentlig-legg til-maskeradeFor å fjerne en sone fra denne typen funksjoner, må vi utføre følgende:
sudo firewall-cmd --zone = public --remove-masquerade
6. Slik aktiverer og deaktiverer du IMCP -melding i Firewalld Linux
ICMP -protokollen (Internet Control Message Protocol) er en protokoll som er utviklet for å generere forespørsler om informasjon eller svar på disse forespørslene om informasjon eller under feilbetingelser gjennom kommunikasjonsprosessen på nettet.
Trinn 1
I Firewalld er det mulig å aktivere eller deaktivere ICMP -meldinger, men det anbefales å validere alle kompatible ICMP -typer, for dette utfører vi:
sudo firewall-cmd --get-icmptypes
FORSTØRRE
Steg 2
Vi kan legge til eller blokkere et ICMP som følger:
sudo firewall-cmd --zone = home --add-icmp-block = echo-reply sudo firewall-cmd --zone = home --remove-icmp-block = echo-reply
FORSTØRRE
Trinn 3
Vi kan se alle ICMP-typene som er lagt til i en sone ved hjelp av --list-icmp-blocks-bryteren:
sudo firewall-cmd --zone = home --list-icmp-blocks
7. Hvordan aktivere eller ikke få panikkmodus i Firewalld Linux CentOS og Ubuntu
Panikkmodus er en spesiell modus integrert i Firewalld der alle innkommende og utgående pakker elimineres, og aktive tilkoblinger utløper når den er aktivert, vi kan aktivere denne modusen i nødssituasjoner der det er en trussel mot systemet, og dermed vil vi unngå enhver forbindelse.
Trinn 1
For å sjekke panikkmodus, bruker vi alternativet --query-panic, og vi kan aktivere det med sudo firewall-cmd --panic-on alternativet:
FORSTØRRE
Steg 2
For å forstå hvordan denne modusen fungerer, kan vi pinge et nettsted når vi deaktiverer det, og vi vil motta alle forespørslene som sendes, men når det er aktivert vil vi se en melding som indikerer en midlertidig tilkoblingsfeil:
FORSTØRRE
Trinn 3
For å deaktivere denne modusen utfører vi:
sudo brannmur-cmd-panisk-av
8. Slik blokkerer du Firewalld på Linux CentOS og Ubuntu
Trinn 1
I Firewalld kan lokale applikasjoner eller tjenester endre brannmurkonfigurasjonen hvis de kjører med rotrettigheter, vi kan kontrollere hvilke applikasjoner som kan be om endringer i brannmuren, og legge den til den blokkerende hvitlisten. Denne funksjonen er deaktivert som standard, og vi kan aktivere eller deaktivere den med --lockdown-on eller -lockdown-off-bryteren:
sudo brannmur-cmd-lockdown-onELLER
sudo brannmur-cmd-lockdown-offSteg 2
En sikrere metode er å aktivere eller deaktivere denne funksjonen direkte i utgaven av hovedkonfigurasjonsfilen, siden noen ganger brannmur-cmd ikke finnes i den blokkerende hvitlisten, for dette får vi tilgang til konfigurasjonsfilen:
sudo nano /etc/firewalld/firewalld.conf
FORSTØRRE
Der finner vi Lockdown = no -linjen og setter statusen til Lockdown = ja, lagre endringene ved hjelp av Ctrl + O -tastene og avslutt editoren med Ctrl + X.
Firewalld er en komplett løsning for å legge til forskjellige regler og soner i Linux -distribusjonene våre og dermed legge til bedre generelle sikkerhetsalternativer i systemet.